Mitä tietosuoja- ja digitaalitietolaki tarkoittaa yrityksille
Sisällysluettelo:
Hallituksen mukaan Ison-Britannian digitaalisen talouden arvo vuonna 259 oli arviolta 2021 miljardia puntaa. Ja sen osuus palveluviennistä oli 85 prosenttia. Siksi yritykset ovat odottaneet innokkaasti yhtä Brexitin jälkeisen aikakauden merkittävimmistä säädöksistä: Data Protection and Digital Information Bill (DPDI). Laki otettiin käyttöön ensimmäisen kerran kesällä 2022 ja keskeytettiin pian sen jälkeen alan asiantuntijoiden ja yritysjohtajien kuulemiseksi. nyt mainostetaan Yhdistyneen kuningaskunnan yrityksille keinona vähentää paperityötä ja kaupan esteitä vaarantamatta yksityisyyttä ja tietosuojaa.
Mutta voisivatko sen säännökset todella lisätä organisaatioiden byrokratiaa aikana, jolloin ne ovat jo ylikuormitettuja uusilla vaatimustenmukaisuusvaltuuksilla Yhdysvalloissa?
Mitä Bill sisältää?
On paljon purettavaa siitä, mikä on pohjimmiltaan Yhdistyneen kuningaskunnan yritys tuottaa oma versio GDPR:stä. Se on sekoitus selvennyksiä ja poikkeuksia, joilla yritetään tehdä laista yritysystävällisempää vaikuttamatta Yhdistyneen kuningaskunnan riittävyysasemaan, mikä vaarantaisi tietovirrat EU:hun ja EU:sta.
Yksi tärkeimmistä muutoksista on varmistaa, että vain "korkean riskin" tietojenkäsittelyyn osallistuvien organisaatioiden, kuten suuria terveystietomääriä käsittelevien organisaatioiden on pidettävä kirjaa. Tämä on suunniteltu vähentämään useiden yritysten paperityötä. Uusien sääntöjen tarkoituksena on myös selventää, milloin organisaatiot voivat käsitellä tietoja ilman suostumusta, esimerkiksi milloin on yleisen edun mukaista jakaa henkilötietoja rikosten ehkäisemiseksi.
Lisäselvennyksiä on tehty luottamuksen lisäämiseksi tekoälyyn ilmoittamalla, milloin turvatoimia on sovellettava automatisoituun päätöksentekoon tai profilointiin, jotka ovat kriittisiä monille liiketoimintamalleille. Lisäksi on olemassa uusia sääntöjä, jotka on suunniteltu siten, että kaupalliset organisaatiot voivat hyötyä samasta suojasta kuin akateemikot tutkimusta tehdessään. Tämä tarkoittaa mitä tahansa tutkimusta, jota voidaan "kohtuullisesti luonnehtia tieteelliseksi". Tavoitteena on jälleen vähentää tutkijoiden byrokratiaa ja juridisia kustannuksia ja samalla lisätä tieteellistä tutkimusta yksityisellä sektorilla.
Muita poikkeuksia GDPR:stä ovat uudet puitteet valinnaiselle digitaaliselle todennukselle, häiritsevistä puheluista ja tekstiviesteistä määrättyjen sakkojen korottaminen jopa 4 prosenttiin maailmanlaajuisesta liikevaihdosta tai 17.5 miljoonaa puntaa sekä uuden lakisääteisen hallituksen perustaminen sääntelijälle Information Commissioner's Office (ICO) ). On myös ehdotuksia Internetin käyttäjien verkossa näkemien suostumusponnahdusikkunoiden määrän vähentämiseksi, mikä tarkoittaa käytännössä sitä, että yritykset voivat käyttää seurantatekniikoita verkkosivustoissa ja sovelluksissa ilman loppukäyttäjän ennakkosuostumusta analytiikkaan.
Mitä hallitus lupaa
Ei ole yllättävää, että hallitus huutaa katolta mahdollisista eduista, joita sen uusi GDPR-versio tuo tullessaan. Se väitti, että uudistukset "vapauttavat" 4.7 miljardin punnan säästöjä Yhdistyneen kuningaskunnan organisaatioille seuraavan vuosikymmenen aikana ilman, että se estäisi kansainvälistä tietovirtaa. Itse asiassa hallitus väittää, että muutokset lisäävät maailmanlaajuista luottamusta sen sääntelyjärjestelmään ja lisäävät kansainvälistä kauppaa. Lainsäädäntö auttaa keventämään pienyrityksille aiheutuvaa taakkaa, erityisesti hallituksen mukaan joustamattomaksi, ylhäältä alas suuntautuvaksi eurooppalaiseksi lainsäädännöksi.
Toinen teema on yritysten luottamuksen lisääminen – sekä siitä, milloin he voivat käsitellä henkilötietoja ilman lupaa, että selventää, milloin suojatoimia on sovellettava tekoälytekniikoita käytettäessä.
Tiede-, innovaatio- ja teknologiasihteeri Michelle Donelan korosti innokkaasti, että lakiehdotus oli "suunniteltu yhdessä" yritysten kanssa alusta alkaen.
”Järjestelmämme on helpompi ymmärtää, helpompi noudattaa ja hyödyntää Brexitin jälkeisen Britannian monia mahdollisuuksia. Yritystemme ja kansalaistemme ei enää tarvitse sotkeutua estepohjaisen eurooppalaisen GDPR:n ympärille”, hän sanoi sen julkistamisen yhteydessä.
"Uudet lakimme vapauttavat brittiläiset yritykset tarpeettomasta byrokratiasta uusien löytöjen avaamiseksi, seuraavan sukupolven tekniikoiden edistämiseksi, työpaikkojen luomiseksi ja taloutemme vauhdittamiseksi."
Voisiko lakiesitys lisätä byrokratiaa?
On kuitenkin olemassa huolia siitä, että lainsäädäntö ei suinkaan poista byrokratiaa, vaan voisi itse asiassa lisätä sitä joidenkin organisaatioiden osalta. Dentonsin tietosuoja- ja kyberturvallisuuskäytännön kumppani ja maailmanlaajuinen puheenjohtaja Antonis Patrikios selittää, että organisaatioiden, jotka eivät halua muuttaa olemassa olevaa GDPR-vaatimustenmukaisuuskehystään, ei tarvitse tehdä niin uuden lainsäädännön kanssa.
"Lakiehdotuksen mukaan organisaatiot voivat halutessaan jatkaa EU:n GDPR:n noudattamista, ja tämän katsotaan täyttävän Ison-Britannian uuden tietosuojalain vaatimukset. Organisaatioiden, jotka eivät halua, että lakiesityksen tuomat muutokset vaikuttavat, ei siis tarvitsekaan, hän kertoo ISMS.onlinelle.
Vaikka tämä vähentäisi mahdollisia vaatimusten noudattamisen taakkaa erityisesti niille, joilla on toimintaa Euroopassa, se merkitsisi, että nämä organisaatiot eivät voi hyötyä uuden lainsäädännön paljon mainostetuista eduista. Niiden, jotka haluavat, on ylläpidettävä tehokkaasti kahta erillistä vaatimustenmukaisuuskehystä, toinen EU-toiminnalleen (GDPR) ja toinen Yhdistyneelle kuningaskunnalle (DPDI).
Patrikios myöntää tämän.
"Niistä organisaatioista, jotka haluavat käyttää hyväkseen virtaviivaistettuja (ja todennäköisesti helpompia noudattaa) tarkistettuja Yhdistyneen kuningaskunnan lainsäädännön vaatimuksia, sekä Yhdistyneen kuningaskunnan henkilötietoja että EU:n henkilötietoja käsittelevien on pohdittava hieman tarkemmin, missä määrin johon he haluavat luottaa Yhdistyneen kuningaskunnan tarkistettuun lakiin ja miten he käytännössä hallitsevat vuorovaikutusta yhden standardin (eli EU:n GDPR) soveltamisen välillä EU:n tietoihinsa ja toisen standardin (eli Yhdistyneen kuningaskunnan tarkistetun tietosuojalain) soveltamisen välillä Yhdistyneen kuningaskunnan tietoihinsa, " hän sanoo.
On myös kysymysmerkki siitä, onko noudattamisen helpottaminen edes organisaatioiden edun mukaista, varsinkin jos sillä on tahattomia seurauksia. Ropes & Grayn data-, yksityisyys- ja kyberturvallisuuskäytännön vanhemman asianajajan Edward Machinin mukaan useimpien vähäriskisten tietojenkäsittelijöiden kirjaamistarpeen poistaminen on yksi tällainen tapaus.
"Vaikka kukaan ei aio valittaa paperityön vähenemisestä, useimpien yritysten henkilötietojen säilyttämisvaatimuksen poistaminen tarkoittaa, että niillä saattaa olla vaikeuksia ymmärtää, miten ja missä tietoja säilytetään, mikä ei ole kenenkään eduksi", hän väittää.
Kuinka yritykset voivat hallita ylimääräistä työtaakkaa
Yhdistyneen kuningaskunnan organisaatioiden vaatimustenmukaisuuden lisääminen tulee kiireiseen aikaan. Tänä vuonna on odotettavissa, että seitsemän osavaltiota, mukaan lukien Colorado, Connecticut, Utah ja Virginia, alkavat panna täytäntöön uusia GDPR-vaikutteisia sääntöjä. Ylimääräinen työtaakka uhkaa ylittää ahtaat vaatimustenmukaisuusryhmät.
"Ison-Britannian tietosuojalain uudistuksen ja Yhdysvaltain osavaltion tietosuojalain uudistusprosessien lisäksi tärkeitä markkinoilla, kuten Kiinassa, Intiassa ja Kanadassa, on uusia tietosuojalakeja ja/tai kehittyviä ohjeita ja käytäntöjä. Emme saa myöskään unohtaa kyberturvallisuutta (esim. NIS 2 ja DORA) tai teknologiaa sääteleviä lakeja (kuten tekoälylaki ja DSA), jotka etenevät EU:n lainsäädäntöprosessissa”, Patrikios selittää.
"Organisaatioiden tulisi miettiä, mitkä näistä uusista laeista koskevat niitä, ja sitten miettiä, mitä todennäköisiä vaikutuksia niillä on ja miten niihin voi valmistautua. Tällöin on välttämätöntä keskustella ulkopuolisten asiantuntijaneuvonantajien kanssa, koska uusia säännöksiä on, joista osalla ei ole ennakkotapausta, joten niitä voi olla vaikea soveltaa käytännössä. Jos voimassa on useampi kuin yksi uusi laki, vaatimustenmukaisuuden tehostaminen ei välttämättä ole yksinkertaista, ja muiden markkinoiden toimien ohjaaminen voi olla erittäin hyödyllistä käytännössä."
Tässä luotettavat kumppanit, kuten ISMS.online, voivat auttaa tarjoamalla keskitetyn portaalin, jossa asiakkaat voivat hallita kaikkia vaatimustenmukaisuustoimiaan yhdessä paikassa. Vielä parempi, jos jotkin tehtävät ja määritykset näyttävät samoilta eri sääntelykehyksessä, ISMS.online voi varmistaa, että tiimit eivät tuhlaa aikaa ponnistelujensa päällekkäisyyteen.
